据慢雾安全团队情报,今日ETH链上的DFXFinance项目遭到攻击,攻击者获利约231,138美元。慢雾安全团队对此事件进行的分享如下:
1.攻击者首先调用了名为Curve的合约中的viewDeposit函数来查看合约中的存款情况,之后根据返回的存款情况来构造合适的闪电贷需要借出的钱;2.紧接着继续Curve合约的flash函数进行闪电贷,因为该函数未做重入锁保护,导致攻击者利用闪电贷中的flashCallback函数回调了合约的deposit函数进行存款;3.存款函数外部调用了ProportionalLiquidity合约的proportionalDeposit函数,在该函数中会将第二步中借来的资金转移回Curve合约里,并且为攻击合约进行存款的记账,并且为攻击合约铸造存款凭证;4.由于利用重入了存款函数来将资金转移回Curve合约中,使得成功通过了闪电贷还款的余额检查;5.最后调用withdraw函数进行取款,取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证,并以此成功取出约2,283,092,402枚的XIDR代币和99,866枚USDC代币获利。
慢雾:攻击Ronin Network的黑客地址向火币转入3750枚 ETH:3月30日消息,慢雾发推称,攻击Axie Infinity侧链Ronin Network的黑客地址向交易所火币转入3750枚ETH。此前金色财经报道,Ronin桥被攻击,17.36万枚ETH和2550万USDC被盗。[2022/3/30 14:26:38]
此次攻击的主要原因在于Curve合约闪电贷函数并未做重入保护,导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断,由于存款时有记账所以攻击者可以成功提款获利。
BitZ平台在慢雾科技的安全审计中评级为优:据官方消息,区块链安全公司-慢雾科技通过十大维度对BitZ平台进行安全审计,BitZ平台凭借优异的表现在本次安全审计中评级为:优。本次安全审计核心目标是为BitZ平台检测潜在的威胁点,协助 BitZ平台提升安全维度。协力BitZ团队一起为客户的资金安全做出有效的推进,更好的保护广大BitZ用户的安全。
BitZ平台创立于2016年,是联合区块链资深从业者和专业量化团队交易团队创立的一家专注于区块链数字资产交易和交流的平台。BitZ采用全球顶尖的安全技术,持续不断的为用户提供安全、快速、智能的区块链资产流通服务。[2020/8/6]
参考攻击交易:
动态 | 慢雾澄清:EOS 账户 crazycapital 并未攻击DApp:今日慢雾发消息称EOS 账户 crazycapital 疑似在同时攻击数个游戏 DApp,账户 EOS 余额飞速增长,游戏胜率惊人的高。 随后慢雾安全团队更新了动态,表示 crazycapital 的行为不是攻击而是大户账号疯狂玩 dice ,可以解除攻击预警。对此慢雾团队表示感谢各位配合应急,虽然此事属于乌龙事件但是这种突然的异常还是要保持警惕。[2018/12/6]
https://etherscan.io/tx/0x6bfd9e286e37061ed279e4f139fbc03c8bd707a2cdd15f7260549052cbba79b7
此前,派盾曾报道称DFXFinanceDEX池疑似被攻击,损失约3000ETH,和上述分析数据有差异。
据TheNationalNews报道,总部位于阿联酋的数字支付服务平台Pyypl完成2000万美元B轮融资,投资者信息未披露.
1900/1/1 0:00:00以提供开放式银行API而著称的金融科技公司Plaid已经推出了WalletOnboard,作为其第一个web3产品.
1900/1/1 0:00:00据Cointelegraph报道,已有4000人使用CryptoLaw请愿应用程序要求美国国会调查美国证券交易委员会主席GaryGensler在FTX欺诈事件中的行为.
1900/1/1 0:00:00TokenPocket支持的跨链交易聚合器TransitSwap宣布正式重启,新合约完全开源,合约安全审计由慢雾科技完成.
1900/1/1 0:00:00NFT市场Blur今日在推特上宣布已上线第二轮空投,第二轮空投的规模是第一次的十倍,用户有14天的的时间通过对Blur出价来进行申领.
1900/1/1 0:00:00据TheBlock报道,美参议院农业委员会正在制定一项关于加密市场监管的法案,讨论的项目包括在美国商品期货交易委员会将代币定义为证券监管机构管辖范围之外的数字商品之前.
1900/1/1 0:00:00